Características poco conocidas de Illumio Core: Integraciones de Plataformas SOAR
En esta serie, los expertos en seguridad de Illumio destacan las características menos conocidas (pero no menos poderosas) de Núcleo de Illumio.
Las brechas y los ataques de ransomware están evolucionando rápidamente, más rápido de lo que pueden reaccionar muchas tecnologías tradicionales de prevención y detección.
El malware puede propagarse en segundos, mucho más rápido de lo que cualquier humano puede responder. Es una verdad de la industria de ciberseguridad que el eslabón más débil en cualquier arquitectura de seguridad se encuentra entre el teclado y la silla. La solución para la propagación automatizada de malware debe ser una respuesta de seguridad igualmente automatizada.
A través de la integración de Illumio Core con plataformas SOAR de terceros, puede estar seguro de que el malware nuevo y desconocido se aislará y contendrá automáticamente.
Por qué la contención de brechas es importante ahora
Todo el malware comparte una cosa en común: les gusta moverse.
La primera carga de trabajo violada rara vez es el destino previsto. Se utiliza como un “pie en la puerta” de su red para recopilar información. Con esta información, el malware y su sistema de control intercambian tráfico de comando y control. En última instancia, el sistema de control instruye al malware sobre cómo propagarse a través de la red.
¿La mala noticia? Todo esto sucede en cuestión de segundos.
Las brechas y los ataques de ransomware son inevitables, y sus herramientas tradicionales de prevención y detección no son suficientes para detener los ataques actuales. Las organizaciones de todos los tamaños, geografías e industrias deben priorizar las estrategias de contención de brechas además de sus herramientas de prevención y detección. Esto garantiza que la próxima violación no se convierta en un evento catastrófico que detenga las operaciones, exponga datos confidenciales y disminuya la confianza de sus clientes, partes interesadas y empleados.
La ciberseguridad moderna se define pasando de la prevención de brechas a Supervivencia por violación. Detener la propagación de brechas debe ser una prioridad tan fuerte como evitar que ocurra una violación.
Prepárese proactivamente para las brechas con Illumio
Desafortunadamente, ninguna solución de prevención de brechas será 100 por ciento efectiva; se producirá una violación. Una vez que se produce esa inevitable brecha, Illumio impide que se propague a los hosts vecinos deshabilitando proactivamente los puertos abiertos en todos los hosts.
La mayoría de los hosts y sus cargas de trabajo no necesitan establecer conexiones entre sí. Más bien, por lo general solo necesitan conectarse a un pequeño conjunto de recursos comunes o hacer conexiones salientes. Por ejemplo, es raro que todas las cargas de trabajo implementadas en un centro de datos o un entorno de nube necesiten conectarse directamente entre sí.
Para mitigar el riesgo que los puertos abiertos innecesariamente pueden causar, Illumio puede imponer cargas de trabajo de una de dos maneras:
- Aplicación selectiva: Los puertos específicos están bloqueados y todo el resto del tráfico está permitido.
- Cumplimiento total: Los puertos específicos están bloqueados y todo el resto del tráfico está denegado.
La aplicación selectiva se puede utilizar cuando sabe qué tráfico no desea permitir entre cargas de trabajo, como RDP y SSH. Sin embargo, el malware está en constante evolución y encuentra nuevos puertos para usar. Debido a esto, es mejor usar la aplicación completa, ya que es mucho más eficaz para bloquear la propagación de malware. En plena aplicación, Illumio deshabilitará todos los puertos en todas las cargas de trabajo a cualquier escala y luego permitirá abrir puertos por excepción según sea necesario.
El resultado se verá como el ejemplo de aplicación completa a continuación. En la imagen del lado izquierdo, se impide que las cargas de trabajo se comuniquen (flechas rojas) porque Illumio ha deshabilitado los puertos abiertos predeterminados. En la imagen del lado derecho, Illumio ha habilitado excepciones (flechas verdes) para permitir únicamente el tráfico entre grupos de aplicaciones específicos a través de puertos específicos:

En plena aplicación con Illumio, los hosts infectados no permitirán que el malware viaje muy lejos porque solo un puñado de puertos están abiertos, algo que es cierto independientemente de cuán nuevo o complejo sea el malware. Esto hace que el radio de explosión de un ataque se reduzca significativamente, convirtiendo lo que podría haber sido una brecha catastrófica en un pequeño incidente de seguridad que no afecta las operaciones ni requiere costos de remediación desmedidos.
Automatice los cambios de políticas con las integraciones SOAR de Illumio
Si algo es cierto en ciberseguridad, es que las cosas cambian constantemente. El panorama actual de amenazas y la complejidad de las redes actuales significan que las medidas de seguridad no pueden permanecer estáticas. Las organizaciones deben tener una manera de actualizar las políticas de cumplimiento en tiempo real.
Illumio permite cambios totalmente automatizados y en tiempo real a sus políticas de seguridad mediante integraciones con plataformas SOAR (Security Orchestration, Automation and Response).
Es importante tener en cuenta que las plataformas SOAR son diferentes de las plataformas SIEM (Security Information and Event Management). Illumio puede reenviar logs a una plataforma SIEM como Splunk para analizar eventos registrados en cargas de trabajo administradas por Illumio, buscando banderas rojas. Pero si encuentra alguno, el SIEM no tiene forma de enviar comandos de regreso a Illumio para cerrar puertos en riesgo. Esta capacidad se habilita mediante una plataforma SOAR.
Illumio se integra con tres sistemas SOAR de terceros: Splunk SOAR, IBM QRadar SOAR, y Palo Alto Networks Cortex XSOAR. Las integraciones Illumio + SOAR ofrecen una defensa rápida en profundidad a través de estos pasos:
- Las plataformas SOAR monitorean el panorama de amenazas, buscando un nuevo malware de día cero previamente desconocido que esté utilizando puertos específicos para propagarse.
- Si la plataforma SOAR ve que el nuevo malware está utilizando un nuevo puerto para propagarse, enviará inmediatamente y automáticamente llamadas API al motor PCE de Illumio a través de un complemento en el Marketplace de cada proveedor. Esto le indica a Illumio que cierre los puertos en todas las cargas de trabajo administradas.
- Illumio cerrará automáticamente los puertos objetivo del malware de día cero. Esto protegerá proactivamente las cargas de trabajo del malware, incluso si aún no ha llegado. Esto se habilita de inmediato, sin necesidad de depender de la intervención humana.

Segmentación de confianza cero de Illumio: Responda a los ciberataques más rápido
Además de visibilidad completa y microsegmentación granular, el Plataforma de Segmentación de Confianza Cero (ZTS) Illumino proporciona una respuesta confiable, escalable y totalmente automatizada a las amenazas de ciberseguridad en constante evolución.
El malware quiere propagarse, e Illumio, junto con las plataformas SOAR, puede cerrar automáticamente los puertos, evitando que el malware se propague a través de un flujo de trabajo totalmente automatizado. Con la próxima violación o ataque de ransomware siempre a la vuelta de la esquina, Illumio ayuda a su organización a garantizar que las brechas no se propaguen por el resto de la red ni se conviertan en una crisis que afecte al negocio.
Para obtener más información de Illumio ZTS, contáctenos hoy para una consulta gratuita y una demostración.